シャーシ クラスタ上の IP アドレスの監視

IP監視は、設定されたIPアドレスのエンドツーエンドの接続性をチェックし、監視対象のIPアドレスがreth(冗長イーサネット)インターフェイスを介して到達できない場合、冗長グループが自動的にフェイルオーバーできるようにします。シャーシ クラスタ内のプライマリ ノードとセカンダリ ノードの両方が特定の IP アドレスを監視して、ネットワーク内のアップストリーム デバイスが到達可能かどうかを判断します。

IP監視では、構成された監視対象IPアドレスのエンドツーエンドの到達可能性に基づいてフェイルオーバーが可能です。SRXシリーズファイアウォールでは、到達可能性テストは、rethインターフェイスを介してプライマリノードとセカンダリノードの両方から監視対象IPアドレスにpingを送信し、応答が返されるかどうかを確認することによって行われます。監視対象IPアドレスは、rethインターフェイスと同じサブネット内の直接接続されたホスト、またはネクストホップルーターを介して到達可能なリモートデバイス上に配置できます。

監視対象の IP アドレスの到達可能性の状態は、到達可能、到達不能、不明です。パケット転送エンジンがまだ稼働していない場合、ステータスは「不明」となります。ステータスは、パケット転送エンジンからの対応するメッセージに応じて、「到達可能」または「到達不能」に変わります。

SRXシリーズファイアウォールの冗長グループ0(RG0)でシャーシクラスターIP監視を設定することは推奨しません。

表1 は、プライマリノードとセカンダリノードの両方からの監視結果のさまざまな組み合わせの詳細と、Juniper Services Redundancy Protocol(jsrpd)プロセスによる対応するアクションを示しています。

表 1: IP 監視の結果とフェールオーバー アクション

プライマリノードの監視ステータス	セカンダリ ノードの監視状態	フェイルオーバーアクション
到達	到達	アクションなし
到達 不能	到達	フェールオーバー
到達	到達 不能	アクションなし
到達 不能	到達 不能	アクションなし

• SRX5000回線デバイスでのIP監視用に、最大64のIPアドレスを設定できます。

• SRXブランチシリーズのデバイスでは、rethインターフェイスに複数の物理インターフェイスが設定されている場合、冗長グループのIP監視はサポートされません。SRXは、セカンダリノードでの追跡にバンドル内の最下位のインターフェイスを使用します。ピアが応答を受信したポート以外のポートに応答を転送すると、SRX はその応答をドロップします。

• IP モニターの最小間隔は 1 秒、最大間隔は 30 秒です。デフォルトの間隔は1秒です。

• IP モニターの最小しきい値は 5 要求で、最大要求は 15 要求です。IP モニター要求が連続した要求 (しきい値を超える) に対する応答を受信しない場合、IP モニターはモニター対象 IP に到達できないことを報告します。しきい値のデフォルト値は 5 です。

• IP監視CLI設定で冗長グループ(RG)に関連付けられていないRethインターフェイスがサポートされています。

表 2 に、IOC2 と IOC3 の複数のインターフェイスの組み合わせと最大 MAC 数の詳細を示します。

表 2: IOC2 および IOC3 の IP 監視でサポートされる最大 MAC 数

カード	インターフェイス	IP 監視でサポートされる最大 MAC 数
IOC2(SRX5K-MPC)	10 X GE	10
	20 GE	20
	40GE X 2	2
	100GEx1	1
IOC3(SRX5K-MPC3-40G10G または SRX5K-MPC3-100G10G)	24 x 10 GE	24
	40GE x 6	6
	2x100GE + 4x10GE	6

SRX5000 回線 IOC2 および IOC3 での IP モニター・サポートについては、以下の制限に注意してください。

• IP 監視は、reth または RLAG インターフェイスを介してサポートされます。設定でこれらのインターフェイスのいずれも指定されていない場合、ルート検索で非 reth/RLAG インターフェイスが返され、失敗レポートが作成されます。

• 等価コストマルチパス(ECMP)ルーティングは、IP 監視ではサポートされていません。

冗長グループのIPアドレス監視は、エンドツーエンドの接続をチェックし、冗長イーサネットインターフェイス( rethと呼ばれる)が設定されたIPアドレスに到達できないため、冗長グループのフェイルオーバーを許可します。クラスタ内の両方のデバイスの冗長性グループを設定して、特定のIPアドレスを監視し、ネットワーク内のアップストリーム機器が到達可能かどうかを判断できます。冗長グループは、監視対象のIPアドレスが到達不能になった場合に、冗長グループがバックアップにフェイルオーバーしてサービスを維持するように設定できます。この監視機能とインターフェイス監視の主な違いは、IP アドレス監視では、インターフェイスはまだ稼働しているが、接続されているネットワーク デバイスが何らかの理由で到達できない場合にフェイルオーバーが可能なことです。このような状況では、クラスタ内の他のノードが問題を回避してトラフィックをルーティングできる場合があります。

IPアドレス監視の失敗により発生するフェイルオーバーを抑制するには、 ステートメントを使用します hold-down-interval 。

IP アドレス監視構成では、監視するアドレスとそのフェールオーバーの重みだけでなく、グローバル IP アドレス監視のしきい値と重みも設定できます。累積監視対象アドレス到達可能性障害によりIPアドレス監視グローバルしきい値に達した後にのみ、IPアドレス監視グローバル重み値が冗長グループのフェイルオーバーしきい値から差し引かれます。したがって、複数のアドレスを同時に監視するだけでなく、トラフィックフローを維持する上での重要性を反映するために監視することもできます。また、到達不能で再び到達可能になった IP アドレスのしきい値は、監視しきい値に復元されます。ただし、プリエンプトオプションが有効になっていない限り、フェールバックは発生しません。

設定すると、IPアドレス監視フェイルオーバー値(global-weight)が、インターフェイス監視(設定されている場合)、およびSPU監視、コールドシンク監視、およびNPC監視(サポートされているプラットフォーム上)などの組み込みフェイルオーバー監視とともに考慮されます。モニターする必要がある主な IP アドレスは、サービス・ゲートウェイに着信する有効なトラフィックを適切なネットワーク・ルーターに転送できるようにするためのルーター・ゲートウェイ・アドレスです。

Junos OSリリース12.1X46-D35およびJunos OSリリース17.3R1以降、すべてのSRXシリーズファイアウォールで、rethインターフェイスはプロキシARPをサポートしています。

ノードごとに 1 つのサービス処理ユニット (SPU) またはパケット転送エンジン (PFE) が指定され、クラスター上の監視対象 IP アドレスに対して ICMP(インターネット制御メッセージ プロトコル)ping パケットを送信します。プライマリ PFE は、ルーティング エンジン(RE)によって解決される ARP(アドレス解決プロトコル)要求を使用して ping パケットを送信します。これらのpingの送信元は、冗長イーサネットインターフェイスMACおよびIPアドレスです。セカンダリ PFE は、監視対象の IP アドレス自体に対する ARP 要求を解決します。これらのpingの送信元は、冗長イーサネットインターフェイス上で設定された物理子MACアドレスとセカンダリIPアドレスです。セカンダリインターフェイスでping応答を受信するために、I/Oカード(IOC)、中央PFEプロセッサ、またはFlex IOCは、物理子MACアドレスと冗長イーサネットインターフェイスMACアドレスの両方をMACテーブルに追加します。セカンダリ PFE は、冗長イーサネット インターフェイスに設定されたセカンダリ IP アドレスに送信された ARP 要求に対して、物理的な子 MAC アドレスで応答します。

メモ：

冗長イーサネットインターフェイスがVPNルーティングおよび転送(VRF)インスタンス用に設定されている場合、IPアドレス監視はSRX5000回線デバイスではサポートされていません。

監視対象 IP アドレスの到達可能性を確認するデフォルトの間隔は、1 秒に 1 回です。間隔はコマンドを使用して retry-interval 調整できます。連続して失敗するping 試行のデフォルト数は 5 回です。連続して失敗するping試行の数は、コマンドを使用して retry-count 調整できます。設定された連続試行回数だけ監視対象のIPアドレスに到達できなかった場合、そのIPアドレスは到達不能と判断され、そのフェイルオーバー値が冗長グループのグローバルしきい値から差し引かれます。

SRX5600およびSRX5800デバイスでは、40ポートの1ギガビットイーサネットI/Oカード(IOC)の各PIC上の10個のポートのうち2個のみが、同時にIPアドレス監視を有効にできます。IOCごとに4つのPICがあるため、IOCごとに合計8つのポートを監視できます。40ポートの1ギガビットイーサネットIOCで、PICごとに2つ以上のポートがIPアドレス監視用に設定されている場合、コミットは成功しますが、ログエントリが生成され、IPアドレス監視の精度と安定性は保証されません。この制限は、他の IOC やデバイスには適用されません。

IP アドレスが到達不能であると判断されると、その重みがグローバルしきい値から差し引かれます。再計算されたグローバルしきい値が 0 でない場合、IP アドレスは到達不能とマークされますが、グローバル重みは冗長グループのしきい値から差し引かれません。冗長性グループ IP 監視のグローバルしきい値が 0 に達し、到達不能な IP アドレスが存在する場合、冗長性グループは、到達不能な IP アドレスが到達可能になるか、設定変更によって到達不能な IP アドレスが監視から削除されるまで、ノード間で継続的にフェールオーバーしてフェールバックします。デフォルトと構成済みのホールドダウン間隔フェイルオーバーダンピングの両方が引き続き有効であることに注意してください。

すべての冗長性グループ x には、最初に255に設定されたしきい値許容値があります。冗長グループ x によって 監視されている IP アドレスが利用できなくなった場合、その重みが冗長グループ x のしきい値から差し引かれます。冗長グループ x のしきい値が 0 に達すると、他のノードにフェールオーバーします。たとえば、冗長グループ 1 がノード 0 でプライマリだった場合、しきい値交差イベントでは、冗長グループ 1 がノード 1 でプライマリになります。この場合、冗長性グループ 1 の冗長イーサネット インターフェイスのすべての子インターフェイスがトラフィックの処理を開始します。

冗長グループ x のフェイルオーバーが発生するのは、冗長グループ x の監視対象 IP アドレスおよびその他の監視の累積重みによってしきい値が 0 になったためです。両方のノード上の冗長性グループxの監視対象IPアドレスが同時にしきい値に達すると、冗長グループxは、ノードIDが小さいノード(通常はノード0)のプライマリになります。

シャーシクラスター機能のアップストリームデバイス障害検出は、SRXシリーズファイアウォールでサポートされています。

Junos OS リリース 15.1X49-D60 および Junos OS リリース 17.3R1 以降、アドレス解決プロトコル(ARP)要求スロットリングの構成がSRX5000回線デバイスでサポートされます。この機能を使用すると、以前にハードコーディングされた ARP 要求スロットリング時間のデフォルト(各 IP アドレスの SPU あたり 10 秒)をバイパスし、時間をより大きな値(10 〜 100 秒)に設定できます。スロットル時間をより大きな値に設定すると、ルーティング エンジンの高い使用率が低下し、より効率的に動作できるようになります。コマンドを使用して、ARP 要求スロットリング時間 set forwarding-options next-hop arp-throttle <seconds> を設定できます。

監視は、IP アドレスが冗長イーサネット インターフェイス(CLI コマンドおよびインターフェイス リストでは reth と呼ばれる)で到達可能であり、IP アドレスをトンネル経由で監視できない場合にのみ実行できます。2 次クラスター・ノード上の冗長イーサネット・インターフェースを介して IP アドレスを監視するには、インターフェースに 2 次 IP アドレスが構成されている必要があります。IPアドレス監視は、透過モードで実行されているシャーシクラスターでは使用できません。クラスタごとに設定できる監視 IP アドレスの最大数は、SRX5000 系統のデバイス、SRX1500、SRX1600、SRX2300、および SRX4000 系統のデバイスで 64 です。

冗長グループの IP アドレス監視は、IPv6 宛先ではサポートされていません。

この例では、シャーシクラスター内のSRXシリーズファイアウォールの冗長グループIPアドレス監視を設定する方法を示します。

この例では、シャーシ クラスタが有効になっているSRX5000回線デバイスでIPアドレスを監視する方法を示します。